Nederlandse politie haalt 13 servers van Lockbit uit de lucht

De politie meldt dat met de actie de criminele activiteiten van de groep ernstig zijn verstoord en aangetast. Lockbit is een beruchte ransomware groepering. De politie meldt dat de groep de afgelopen jaren verantwoordelijk was voor een kwart van alle ransomware-aanvallen en voor miljarden euro's schade veroorzaakte. Ook in Nederland zijn diverse partijen slachtoffers geworden van Lockbit.

Servers uit de lucht gehaald

Bij de politie-actie tegen Lockbit zijn servers offline gehaald in Nederland, Duitsland, Finland, Frankrijk, Zwitserland, Australië, de Verenigde Staten en het Verenigd Koninkrijk. In Nederland gaat het om 13 servers, meldt de politie.

De cybercrimeteams van de eenheden Oost-Brabant en Zeeland-West-Brabant waren betrokken bij het internationaleonderzoek tegen Lockbit. "Beide cybercrimeteams zijn met hun expertise op het gebied van ransomware een belangrijke waarde geweest in de internationale taskforce die gecoördineerd werd door Europol", meldt de politie.

'De impact in Nederland is groot'

“Vorig jaar is Team High Tech Crime, onder gezag van het Landelijk Parket, een onderzoek gestart naar de ransomware groepering Lockbit dankzij een tip van een private partij vanuit het project Melissa (Melissa is een samenwerkingsverband tussen publieke (Politie, OM en NCSC) en private cybersecurity partijen om ransomware te bestrijden). De impact van deze ransomware groepering in Nederland is groot. Het aantal slachtoffers nam de afgelopen jaren gigantisch toe. Het onderzoek is later overgenomen door de regionale eenheden. We zijn dit onderzoek gestart, onder gezag van de officier van justitie van arrondissement Zeeland-West-Brabant, om de gevolgen voor slachtoffers te doen stoppen. Het verstoren van het werkproces van deze groepering was een van onze doelen”, aldus een cyberspecialist van het onderzoeksteam.

“We hebben complex digitaal onderzoek verricht op verschillende onderdelen van de infrastructuur. Dit moest in een rap tempo en hebben zo een belangrijk aandeel kunnen leveren in de internationale verstoringsactie. De Nederlandse politie laat hiermee zien dat er grote en diepgaande expertise aan boord is in de verschillende teams Cybercrime in de eenheden. Slachtoffers van ransomware kunnen zich gesteund voelen dat de politie hiertegen kan optreden en waardevolle acties uit kan voeren. Het is een gezamenlijk doel om Nederland minder aantrekkelijk te maken voor ransomware criminelen. Om eenheidoverstijgend een bijdrage te leveren aan zo’n groot internationaal onderzoek is natuurlijk een hele inspanning maar ook erg waardevol geweest.”

De Officier van Justitie van arrondissement Zeeland-West-Brabant: “Dit internationale onderzoek is een goed voorbeeld van hoe we door goed samen te werken, zowel met de verschillende eenheden in Nederland als met de andere deelnemende landen, een gerichte en grote impact kunnen maken tegen de cybercriminaliteit.”

Betekent dit het einde van Lockbit?

Ivan Kwiatkowski, cybersecurity onderzoeker bij Harfanglab, legt uit: "Deze grote operatie, die de kracht en het belang van internationale samenwerking aantoont, is een overwinning in de strijd tegen cybercriminaliteit. Het succesvol in beslag nemen van de infrastructuur van zo'n productieve Lockbit 3.0 groep vertraagt niet alleen hun activiteiten, maar geeft ook een sterk signaal af aan hun 'filialen'. Het ecosysteem van ransomware werkt als een bedrijf, met talloze belanghebbenden die betrokken zijn bij de infectieketen. Deze spelers zijn overal ter wereld gevestigd en hebben elk zeer specifieke taken in de distributie van ransomware. Het is te hopen dat het in beslag nemen van deze infrastructuur autoriteiten toegang geeft tot decryptiesleutels of losgelden, zodat slachtoffers hun gegevens of hun geld kunnen terugkrijgen."

"We moeten deze grote operatie niet bagatelliseren, maar we moeten helaas voorzichtig blijven. We hebben in het verleden veel gevallen gezien waarbij groepen een manier vinden om terug te komen, hun architectuur te herstructureren en uiteindelijk door te gaan met opereren. Hoewel sommige actoren zijn gearresteerd als onderdeel van deze operatie, lijkt het onwaarschijnlijk dat alle leiders of leden van Lockbit zullen worden gearresteerd. Dit betekent dat veel filialen in staat zullen zijn om door te gaan met het verspreiden van ransomware, eventueel voor andere groepen, met andere malware, terwijl ze wachten tot de infrastructuur van Lockbit opnieuw is opgebouwd. Er is geen twijfel dat de inbeslagname van de infrastructuur de activiteiten van de bende een tijdje zal vertragen, maar we kunnen aannemen dat een aantal spelers nog steeds de broncode voor de malware van de groep hebben; en een manier zullen vinden om hun ecosysteem opnieuw op te bouwen.